認証の理想からかけ離れたパスワード

　ITシステムの利用に欠かせない作業が、本人確認を通じて無用のトラブルを避けるためのユーザー認証である。そのために現時点で最も広く利用されているのが特定の文字列を用いたパスワード認証だ。

　ただし、「利用シーンを考えればパスワード認証は理想とはかけ離れていることは明らかだ」と強調するのは、ガートナーでバイスプレジデントを務めるアント・アラン氏である。その理由も納得のゆくところだ。

「今や1人が所有するアカウント数は平均で100を超えている。理屈でいえば、それらの個々にパスワードが設定されるべきだが、すべてを暗記するのは至難の業。結果、パスワードの使い回しにより認証強度が低下するとともに、サイバー攻撃が巧妙化によりパスワードの厳格管理も困難になっている。認証で目指すべきは、誰でも簡単に扱え、高い認証強度を保てること。対して、パスワード認証は人に優しくなくなく、認証強度の維持も困難という点で、決して満足できるものではないのだ」（アラン氏）

従来型パスワードでは確実な本人確認は不可能

　アラン氏によるとパスワード認証の登場はMIT（マサチューセッツ工科大学）がタイムシェアリングシステムに採用した1961年にまでに遡る。以来、長らく指摘されてきた「無計画な侵入には有効だが、計画的な確信犯による侵入は防ぎきれない」欠点を補うべく、認証データの多様化、スマホやUSBデバイスが発行する証明用トークンなどを組み合わせた多要素認証を柱に進化を遂げてきた。


　その延長として、近年では認証時のユーザーのネットワーク情報やデバイスIDなどを本人確認の裏付けとして利用し、不正アクセスのリスクが高いと判断される場合にはパスワードが合致しても「秘密の質問」などで追加認証を行う「RBA（リスクベース認証）」もインターネットバンキングなどで一般的となった。

　だが、「それでもパスワード認証の根本的な問題、つまり、認証情報が本人に紐づいていることの証明が困難なことは依然として解決されないままだ」とアラン氏は不満を隠さない。

　RBAでの認証情報は、利便性の観点からデータ生成のための専用機器を一般的に必要としない。そのため、パスワードと普段利用している端末の双方を盗まれた場合、モバイル端末などで日常で気に場所を問わずアクセスしている場合には、悪意ある第三者の不正利用を食い止めることは現実的に極めて困難なのである。

【次ページ】理想の認証にもっとも近いのはあの有名デバイスも採用する…？